21.前言 52.2022年工控安全相關政策法規報告 62.1《工業和信息化領域數據安全管理辦法(試行)(征求意見稿)》 62.2《信息安全技術工業控制系統信息安全防護能力成熟度模型》 62.3《電力可靠性管理辦法(暫行)》 72.4《電力行業網絡安全管理辦法(修訂征求意見稿)》 7 72.6《關于開展網絡安全服務認證工作的實施意見(征求意見稿)》 82.7《關于修改〈中華人民共和國網絡安全法〉的決定(征求意見稿)》 82.8《信息安全技術關鍵信息基礎設施安全保護要求》 82.9《工業互聯網總體網絡架構》 92.10《網絡產品安全漏洞收集平臺備案管理辦法》 92.11《信息安全技術網絡安全服務能力要求》 92.12《信息安全技術關鍵信息基礎設施網絡安全應急體系框架》 93.2022年典型工控安全事件分析 113.1德國主要燃料儲存供應商遭網絡攻擊 113.2FBI警報：美國關鍵基礎設施正遭受BlackByte勒索軟件入侵 113.3白俄羅斯鐵路遭到Anonymou入侵，所有網絡服務中斷 113.4東歐大型加油站遭勒索攻擊，官網、APP等全部下線 123.5烏克蘭的能源供應商成為Industroyer2ICS惡意軟件的目標 1233.6農業機械巨頭愛科遭勒索攻擊，美國種植季拖拉機供應受影響 123.7得克薩斯州一家液化天然氣廠遭黑客攻擊導致爆炸 133.8伊朗lycaeumAPT組織利用新的DNS后門攻擊能源行業 133.9德國建材巨頭Knauf被BlackBasta勒索軟件團伙襲擊 133.10希臘天然氣分銷商DESFA部分基礎設施遭受網絡襲擊 143.11黑客組織GhostSec入侵以色列各地的55個PLC 143.12黑客組織KILLNET對美國機場網站發起分布式拒絕服務(DDoS)攻擊 143.13網絡攻擊導致丹麥最大鐵路公司火車全部停運 153.14烏克蘭政府機構和國家鐵路遭受新一波網絡釣魚攻擊 154.工控系統安全漏洞概況 175.聯網工控設備分布 205.1國際工控設備暴露情況 225.2國內工控設備暴露情況 245.3國內工控協議暴露數量統計情況 275.4俄烏沖突以來暴露設備數量變化 296.工控蜜罐數據相關分析 326.1工控蜜罐全球捕獲流量概況 326.2工控系統攻擊流量分析 346.3工控系統攻擊類型識別 376.4工控蜜罐與威脅情報數據關聯分析 396.5工控網絡探針 4147.工業互聯網安全創新發展 447.1工業互聯網與智能制造 457.2工業互聯網與產業數字化轉型 477.3工業互聯網與典型工業環境 488.總結 53參考文獻 541.前言5關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等，對國家的穩定發展發揮著極端重要的作用。工業控制系統是關鍵信息基礎設施的關鍵核心。隨著制造強國、網絡強國戰略的持續推進，機械、航空、船舶、汽車、輕工、紡織、食品、電子等行業生產設備逐漸步入智能化階段。與此同時，5G技術、人工智能、云計算等新一代信息技術與制造技術的加速融合，使得工業控制系統正從封閉獨立逐步走向開放互聯。工業控制網絡正與IT網絡進行著深度融合，在促進工業進一步發展的同時，傳統信息網絡中的各種安全威脅已經逐步延伸至工業控制網絡中。在黨的二十大報告中，習近平總書記著重強調了：“要推進國家安全體系和能力現代化，堅決維護國家安全和社會穩定。”近年來，網絡攻擊、網絡竊密等危及國家安全行為，給社會生產生活帶來了不少安全隱患。如何有效保障網絡與信息安全，是數字時代的重要課題。2022年4月，為貫徹落實2022年《政府工作報告》關于“加快發展工業互聯網”的部署要求，扎實推進《工業互聯網創新發展行動計劃(2021-2023年)》任務安排，工信部印發《工業互聯網專項工作組2022年工作計劃》。從夯實基礎設施、深化融合應用、強化技術創新、完善要素保障等方面，提出了網絡體系強基、標識解析增強、平臺體系壯大等15大類任務83項具體舉措。為順應當前形勢，東北大學“諦聽”網絡安全團隊基于自身傳統的安全研究優勢開發設計并實現了“諦聽”網絡空間工控設備搜索引擎()，并根據“諦聽”收集的各類安全數據，撰寫并發布《2022年工業控制網絡安全態勢白皮書》，讀者可以通過報告了解2022年工控安全相關政策法規報告及典型工控安全事件分析，同時報告對工控系統漏洞、聯網工控設備、工控蜜罐、威脅情報數據及工業互聯網安全創新發展情況進行了闡釋及分析，有助于全面了解工控系統安全現狀，多方位感知工控系統安全態勢，為研究工控安全相關人員提供參考。2.2022年工控安全相關政策法規報告6隨著互聯網的快速發展，云計算等新型信息技術開始與傳統工業進行融合，工業控制系統逐漸走向智能化。但與此同時，一些網絡安全事件層出不窮，工業控制系統在信息安全方面受到了嚴峻挑戰。因此，我國開始逐步完善工業信息安全政策標準，以便于提升工業信息安全保障技術，推動整個安全產業的發展。通過梳理2022年度發布的相關政策法規報告，整理各大工業信息安全研究院及機構針對不同法規所發布的解讀文件，現摘選部分重要內容并對其進行簡要分析，以供讀者進一步了解國家層面關于工控安全領域的政策導向。2.1《工業和信息化領域數據安全管理辦法(試行)(征求意見稿)》2022年2月10日，工信部再次公開征求對《工業和信息化領域數據安全管理辦法 (試行)》(征求意見稿)的意見。此次發布的征求意見稿調整了數據定義、監管機構和核心數據目錄備案等條款。在工業和信息化領域數據處理者責任方面，征求意見稿明確了其對數據處理活動負安全主體責任，對各類數據實行分級防護，保證數據持續處于有效保護和合法利用的狀態。該征求意見稿增加了核心數據跨主體處理以及日志留存條款，要求需要跨主體提供、轉移、委托處理核心數據時，應當評估安全風險，采取必要的安全保護措施，并經由地方工業和信息化主管部門(工業領域)或通信管理局(電信領域)或無線電管理機構(無線電領域)報工業和信息化部。工業和信息化部嚴格按照有關規定對其進行審查。2.2《信息安全技術工業控制系統信息安全防護能力成熟度模型》2022年4月15日，根據國家市場監督管理總局、國家標準化管理委員會發布的中華人民共和國國家標準公告(2022年第6號)，國家標準GB/T41400-2022《信息安全技術工業控制系統信息安全防護能力成熟度模型》正式發布，并將于2022年11月進行正式實施。該標準由中國電子技術標準化研究院聯合“產學研用測”41家單位共同研制，意在貫徹落實《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》有關要求、進一步推動工業企業落實《工業控制系統信息安全防護指南》防護要點。72.3《電力可靠性管理辦法(暫行)》2022年4月25日，國家發改委官網公布了《電力可靠性管理辦法(暫行)》，并于6月1日起開始實施。《辦法》第七章對電力網絡安全做出了明確要求，其中提出了電力網絡安全堅持積極防御和綜合防范的方針；電力企業應當落實網絡安全保護責任，健全網絡安全組織體系；電力企業應當強化電力監控系統安全防護；電力用戶應當根據國家有關規定和標準開展網絡安全防護，預防網絡安全事件，防止對公用電網造成影響；國家能源局依法依規履行電力行業網絡安全監督管理職責等具體要求。2.4《電力行業網絡安全管理辦法(修訂征求意見稿)》2022年6月14日，國家能源局對《電力行業網絡與信息安全管理辦法》(國能安全〔2014〕317號，為加強電力行業網絡安全監督管理以及規范電力行業網絡安全工作，根據《中華人民共和國網絡安全法》《中華人民共和國密碼法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國計算機信息系統安全保護條例》《關鍵信息基礎設施安全保護條例》及國家有關規定，制定本辦法。)、《電力行業信息安全等級保護管理辦法》(國能安全〔2014〕318號，為規范電力行業網絡安全等級保護管理，提高電力行業網絡安全保障能力和水平，維護國家安全、社會穩定和公共利益，根據《中華人民共和國網絡安全法》《中華人民共和國密碼法》《中華人民共和國計算機信息系統安全保護條例》《關鍵信息基礎設施安全保護條例》《信息安全等級保護管理辦法》等法律法規和規范性文件，制定本辦法。)進行修訂，形成了《電力行業網絡安全管理辦法(修訂征求意見稿)》《電力行業網絡安全等級保護管理辦法 (修訂征求意見稿)》，向社會公開征求意見。2.5《數據出境安全評估辦法》2022年7月7日，國家互聯網信息辦公室公布了《數據出境安全評估辦法》(以下簡稱《辦法》)，并于2022年9月1日起開始施行。出臺《辦法》是為了更好的落實《網絡安全法》、《數據安全法》、《個人信息保護法》的規定，并且有利于保護個人信息的權益，社會公共的利益，規范數據出境的活動以及維護國家的安全。該《辦法》8也規定了數據出境安全評估的范圍、條件和程序，并具體指明數據出境安全評估工作的方法。2.6《關于開展網絡安全服務認證工作的實施意見(征求意見稿)》2022年7月21日，市監總局發布《關于開展網絡安全服務認證工作的實施意見(征求意見稿)》，公開征求意見至8月21日。應當依法設立從事網絡安全服務認證活動的認證機構，保證其具備從事網絡安全服務認證活動的專業能力，并嚴格經過市場監管總局征求中央網信辦、公安部意見后批準取得資質。嚴格要求網絡安全服務認證機構公開認證收費標準和認證證書有效、暫停、注銷或者撤銷等狀態，按照有關規定報送網絡安全服務認證實施情況及認證證書信息。2.7《關于修改〈中華人民共和國網絡安全法〉的決定(征求意見稿)》2022年9月14日，國家互聯網信息辦公室會同相關部門起草了《關于修改〈中華人民共和國網絡安全法〉的決定(征求意見稿)》，并向社會公開征求意見。意見反饋截止時間為2022年9月29日。自2017年《中華人民共和國網絡安全法》開始實施后，其為維護網絡空間主權和國家安全、社會公共利益，保護公民等合法權益，提供了有力法律保障。隨著社會形勢的發展，擬對《中華人民共和國網絡安全法》進行修改，使其法律責任制度能夠更加完善，能夠更加有效的保障網絡的安全。2.8《信息安全技術關鍵信息基礎設施安全保護要求》2022年10月12日，國家標準化管理委員會發布2022年第14號中華人民共和國國家標準公告，批準發布國家標準GB/T39204-2022《信息安全技術關鍵信息基礎設施安全保護要求》，《信息安全技術關鍵信息基礎設施安全保護要求》規定了關鍵信息基礎設施運營者在識別分析、安全防護、檢測評估等方面的安全要求。此次標準的發布，意味著我國的國家關鍵信息基礎設施(電力，燃氣，水力，石化等)工業控制系統的網絡安全保護將納入國家監督成為強制要求，標志著我國關鍵信息基礎設施安全保障體系的建設進一步完善，為運營者開展關鍵信息基礎設施的安全保護工作提供更有效的規范和引領。標準將于2023年5月1日開始實施。92.9《工業互聯網總體網絡架構》2022年10月14日，國家標準化管理委員會發布2022年第13號中華人民共和國國家標準公告，批準發布國家標準GB/T42021-2022《工業互聯網總體網絡架構》。《工業互聯網總體網絡架構》是我國首個在工業互聯網網絡領域中發布的國家標準，其規范了工業互聯網工廠內外網絡架構的目標架構和功能要求，并且表明了工業互聯網網絡實施的框架以及對安全方面的要求，相關標準的規定有助于提升全行業全產業的數字化、網絡化以及智能化水平，能夠進一步促進相關產業向數字化轉型。該標準將于2023年5月1日開始實施。2.10《網絡產品安全漏洞收集平臺備案管理辦法》2022年10月28日，工業和信息化部近日印發《網絡產品安全漏洞收集平臺備案管理辦法》。《辦法》規定，將采取網上備案的形式進行，通過工業和信息化部網絡安全威脅和漏洞信息共享平臺對漏洞收集平臺進行備案。相關參與者需在該共享平臺上如實填報網絡產品安全漏洞收集平臺的備案登記信息。該《辦法》將于2023年1月1日起施行。2.11《信息安全技術網絡安全服務能力要求》2022年11月9日，全國信息安全標準化技術委員會秘書處發布《信息安全技術網絡安全服務能力要求》(征求意見稿)，并向社會公開征求意見，該意見征求截止時間為12月9日。該文件嚴格要求了網絡安全服務機構所提供的安全服務應該具備的能力水平。該文件能夠對網絡安全服務機構開展網絡安全服務能力建設進行有效指導，同時也可以幫助政務部門以及關鍵信息基礎設施運營者選擇合適的網絡安全服務機構。2.12《信息安全技術關鍵信息基礎設施網絡安全應急體系框架》2022年11月17日，全國信息安全標準化技術委員會秘書處發布《信息安全技術關鍵信息基礎設施網絡安全應急體系框架》(征求意見稿)，并向社會征求意見，該意見征求截止時間為2023年1月16日。征求意見稿給出了關鍵信息基礎設施網絡安全應急體系框架，其中主要包括機構設立、分析識別以及事后恢復與總結等。該文件有助于關鍵信息基礎設施運營者建立健全網絡安全應急體系、開展網絡安全應急活動，同時可以為關鍵信息基礎設施安全保護的其他相關方提供參考。序號月份出臺政策12月《工業和信息化領域數據安全管理辦法(試行)》(征求意見稿)22月《工業和信息化部辦公廳關于做好工業領域數據安全管理試點工作的通知》32月《工業互聯網安全標準體系》44月《信息安全技術工業控制系統信息安全防護能力成熟度模型》54月《電力可靠性管理辦法(暫行)》66月《電力行業網絡安全管理辦法(修訂征求意見稿)》77月《數據出境安全評估辦法》87月《關于開展網絡安全服務認證工作的實施意見(征求意見稿)》97月《信息安全技術信息安全管理體系概述和詞匯》8月《公路水路關鍵信息基礎設施安全保護管理辦法(征求意見稿)》9月《關于修改(中華人民共和國網絡安全法)的決定(征求意見稿)》10月《信息安全技術關鍵信息基礎設施安全保護要求》10月《工業互聯網總體網絡架構》10月《數字化轉型價值效益參考模型》、《供應鏈數字化管理指南》、《生產設備運行管理規范》、《生產設備運行績效評價指標集》10月《網絡產品安全漏洞收集平臺備案管理辦法》11月《信息安全技術網絡安全服務能力要求》(征求意見稿)11月《信息安全技術關鍵信息基礎設施網絡安全應急體系框架》(征求意見稿)12月《工業互聯網企業網絡安全第4部分：數據防護要求》(征求意見稿)12月《電力行業網絡安全管理辦法》2012月《電力行業網絡安全等級保護管理辦法》2112月《工業和信息化領域數據安全管理辦法(試行)》3.2022年典型工控安全事件分析時至2022，全球局勢變化風云莫測，工控安全是國家安全保障、社會穩定運行的重要基石。工控網絡的應用涉及了社會中的各個重要行業如通信、電力、燃油等。社會中的各個機構、組織、企業在疫情下穩步的復產復工，恢復工作秩序，離不開工控網絡的安全。以下介紹2022年發生的一些典型工控安全相關事件，通過以下事件可以了解工業控制網絡環境下各種攻擊的技術特性和趨勢，以此來制定更加有效的相關策略應對未來可能遭受的攻擊。3.1德國主要燃料儲存供應商遭網絡攻擊2022年1月29日，德國的一家名為OiltankingGmbHGroup的石油儲存公司遭到了網絡攻擊。本次攻擊主要是針對Oiltanking公司以及礦物油貿易公司Mabanaft，對其造成了一定的影響。Oiltanking和Mabanaft在他們的聯合聲明中表示他們正在盡力解決該問題，并了解其波及的范圍。同時由于受到本次攻擊事件的影響，歐洲西北部地區餾分柴油的價格有略微的漲幅。3.2FBI警報：美國關鍵基礎設施正遭受BLACKBYTE勒索軟件入侵2022年2月11日，美國聯邦調查局和美國特勤局聯合發布了《聯合網絡安全咨詢公告》。公告中指出：名為BlackByte的軟件勒索組織在過去的3個月期間，入侵了至少3個美國關鍵基礎設施組織，尤其是政府設施、金融服務以及食品和農業領域。該組織會將其勒索軟件基礎設施出租給他人，以此來換取一定比例的勒索收益，該組織自2021年7月開始開發軟件漏洞，全球范圍內的企業都可能成為其目標。3.3白俄羅斯鐵路遭到ANONYMOU入侵，所有網絡服務中斷2022年2月27日，黑客組織Anonymou聲稱已經入侵了白俄羅斯鐵路的內部網絡，并且攻擊并關閉了其內部網絡的所有服務。目前網站pass.rw.by、portal.rw.by、rw.by都處于無法訪問的狀態，該國的鐵路系統被迫轉入手動控制模式，這對白俄羅斯鐵路列車的正常運營以及鐵路秩序都造成了極大的影響和破壞。Anonymou組織還入侵了白俄羅斯的武器制造商Tetraedr，并竊取了大約200GB的電子郵件。3.4東歐大型加油站遭勒索攻擊，官網、APP等全部下線2022年3月6日，東歐國家羅馬尼亞的一家加油站遭到了勒索軟件攻擊，該加油站的Fill&Go服務以及官方網站都因本次攻擊而被迫下線。本次攻擊影響到了該公司的大部分業務，導致了官網、APP都無法正常訪問，顧客只能使用現金和刷卡進行支付。這家公司名為Rompetrol，是羅馬尼亞國內最大的煉油廠PetromidiaNavodari的配套加油站運營商。攻擊者還入侵了Petromdia煉油廠內部的網絡，但該網絡的運營暫未發現受到了影響。3.5烏克蘭的能源供應商成為INDUSTROYER2ICS惡意軟件的目標2022年4月12日，一種新的能夠操控工業控制系統造成損害的惡意軟件最近將烏克蘭的一家能源供應商作為了攻擊的目標。該攻擊主要針對的是變電站，烏克蘭的計算機應急響應小組、網絡安全公司和微軟公司已經對其進行了分析。經分析發現，該攻擊行動與一個威脅組織Sandworm有關，該組織據信代表俄羅斯GRU軍事情報機構運作。根據網絡安全公司的說法，該攻擊的目的可能是在目標能源設施中執行破壞性的操作進而導致停電，本次安全事件涉及了在ICS網絡以及運行Solaris和Linux的系統中部署的幾種惡意軟件。3.6農業機械巨頭愛科遭勒索攻擊，美國種植季拖拉機供應受影響2022年5月7日，美國農業機械巨頭愛科遭到了勒索軟件的攻擊，對部分生產設施的運營造成了影響，并且該影響可能會持續多天。本次事件中，愛科公司并沒有提供任何關于業務中斷的細節信息，為了阻止攻勢蔓延該公司可能會關閉部分系統。有經銷商表示，這導致拖拉機銷售在美國最重要的種植季節停滯不前。近一年來已經有多家農業供應鏈企業遭到攻擊，可見農業逐漸成為了勒索攻擊的重點目標。同時受到緊張的國際政治局勢的影響，部分網絡攻擊可能還具有報復性動機，目的是破壞美國關鍵基礎設施企業的生產活動。3.7得克薩斯州一家液化天然氣廠遭黑客攻擊導致爆炸2022年6月8日，德克薩斯州一家液化天然氣廠發生爆炸。爆炸發生在德克薩斯州金塔納島的自由港液化天然氣液化廠(名為FreeportLNG公司)和出口碼頭。華盛頓時報一國家安全作家Rogan證實：德克薩斯州的液化天然氣設施爆炸與APT組織進行的黑客活動一致。FreeportLNG擁有運營技術以及工業控制系統網絡檢測系統，但否認了將網絡攻擊視為事件發生的根本原因。除非FreeportLNG適當部署了OT/ICS網絡檢測系統并完成了取證調查，否則不能排除網絡攻擊。此次爆炸事故將對自由港液化天然氣的運營產生持久的影響。3.8伊朗LYCAEUMAPT組織利用新的DNS后門攻擊能源行業2022年6月10日，伊朗LycaeumAPT黑客組織使用新的基于.NET的DNS后門，以對能源和電信行業的公司進行攻擊。Lyceum曾使用DNS隧道后門瞄準中東的通信服務提供商。Zscaler最近的一項分析提出了一種新的DNS后門，該后門基于DIG.net開源工具可以執行“DNS劫持”攻擊、執行命令、丟棄更多有效負載并泄露數據。DNS劫持是一種重定向攻擊，它依賴于DNS查詢操作，將嘗試訪問合法站點的用戶帶到威脅參與者控制下的服務器上托管的惡意克隆。3.9德國建材巨頭KNAUF被BLACKBASTA勒索軟件團伙襲擊2022年7月19日消息，德國建材巨頭Knauf集團表示它已成為網絡攻擊的目標，該攻擊擾亂了其業務運營。據悉，網絡攻擊發生在6月29日晚上，目前，可耐夫仍在進行調查取證、事件處理和補救工作。雖然Knauf沒有公布他們所遭受的網絡攻擊的類型，但根據恢復正常運營的時間、影響和難度可以推斷這大概率是一起勒索軟件事件。名為BlackBasta的勒索軟件團伙已經在其勒索網站上發布公告宣布對這次攻擊負責，并于7月16日將Knauf列為受害者。勒索軟件團伙目前已經泄露了20%的被盜文件，超過350名訪問者訪問了這些文件。并非所有文件都已在線泄露的事實表明，威脅行為者仍有希望獲得成功的談判結果并獲得贖金。3.10希臘天然氣分銷商DESFA部分基礎設施遭受網絡襲擊2022年8月20日，希臘最大的天然氣分銷商DESFA表示在其部分基礎設施上遭受了網絡攻擊，攻擊者試圖非法訪問電子數據，并可能泄露了許多目錄和文件。8月19日，RagnarLocker勒索軟件組織在其暗網數據泄露網站上泄露了DESFA的數據樣本及被盜數據列表，這也證實了此次攻擊。泄露的數據樣本不包含機密信息。RagnarLocker在其暗網上表示，DESFA的系統中存在多個安全漏洞，會導致公司的敏感數據受到損害。RagnarLocker已將此類漏洞通知了DESFA，然而并沒有收到回應。因此RagnarLocker發布了從DESFA網絡下載的數據列表，并威脅如果DESFA沒有在規定時間內采取行動，也沒有聯系威脅行為者以解決安全問題，將發布文件列表中包含的所有文件。3.11黑客組織GHOSTSEC入侵以色列各地的55個PLC可編程邏輯控制器(PLC)，這些PLC被以色列組織用作“FreePalestine”運動的一部分。GhostSec于2015年首次被發現，自稱治安組織，最初成立的目的是針對宣揚伊斯蘭極端主義的ISIS網站。9月4日，GhostSec在其Telegram頻道上分享了一段視頻，展示了成功登錄PLC管理面板的過程，此外還轉儲了被黑客入侵控制器的數據。同時，GhostSec發布了更多的截圖，聲稱已經獲得了另一個控制面板的權限，可以用來改變水中的氯含量和PH值。工業網絡安全公司OTORIO對此事進行了更深入的調查后表示，發生此次入侵的原因可能是因為PLC可以通過互聯網訪問，而且使用的是可以輕易猜到的憑證。3.12黑客組織KILLNET對美國機場網站發起分布式拒絕服務(DDOS)攻擊2022年10月10日，親俄黑客組織KillNet聲稱對美國幾個主要機場的網站進行了大規模分布式拒絕服務(DDoS)攻擊，導致其無法訪問。DDoS攻擊通過垃圾請求使托管這些網站的服務器無法運作，使旅客無法連接并獲取有關其定期航班或預訂機場服務的更新。被攻擊的機場包括芝加哥奧黑爾國際機場(ORD)、奧蘭多國際機場(MCO)、丹佛國際機場(DIA)、鳳凰城天港國際機場(PHX)，以及肯塔基州、密西西比州和夏威夷的一些機場。雖然DDoS攻擊不會影響航班，但仍然對關鍵經濟部門的運作產生了不利影響，可能將會造成相關服務的暫緩甚至是癱瘓。KillNet的創始人KillMilk還表示，他們正在計劃進一步的攻擊，涉及更嚴重的技術，包括旨在破壞數據的擦除器攻擊。3.13網絡攻擊導致丹麥最大鐵路公司火車全部停運2022年11月5日，由于遭受了網絡攻擊導致服務器關閉，丹麥最大的鐵路運營公司DSB旗下所有列車均陷入停運，且連續數個小時未能恢復。遭受攻擊的是丹麥公司Supeo，該公司是一家專為鐵路、交通基礎設施和公共客運提供資產管理解決方案的外包供應商。Supeo可能經受了一次勒索軟件攻擊，但該公司并未披露任何信息。Supeo公司提供了一款移動應用，可供火車司機訪問各項關鍵運營信息，例如限速指標和鐵路運行信息。由于服務器關閉，導致該應用停止工作，司機們只能被迫停車，最終引發了列車運營中斷事件。3.14烏克蘭政府機構和國家鐵路遭受新一波網絡釣魚攻擊2022年12月8日，烏克蘭計算機應急響應小組報道，烏克蘭政府機構和國家鐵路遭受網絡釣魚攻擊。攻擊者被響應小組追蹤為UAC-0140，他們使用電子郵件分發由Delphi編程語言開發的名為DolphinCape惡意軟件。這種惡意軟件可以采集被攻擊電腦的信息，包括主機名、用戶名、比特率和操作系統版本等等，該軟件還會運行可執行文件、提取其他關鍵數據、并對目標設備進行屏幕截圖等操作，嚴重影響被攻擊者的電腦的運行安全。烏克蘭安全官員認為，俄羅斯黑客是大多數攻擊的幕后黑手。序號時間國家/地區行業方式影響1德國制造業未知歐洲北部地區柴油漲價2荷蘭能源業勒索軟件石油裝卸和轉運受阻32月美國農業勒索軟件勒索高額贖金42月俄羅斯運輸業未知鐵路運營秩序受影響，資料泄露52月瑞士運輸業勒索軟件運營受到干擾63月羅馬尼亞能源業勒索軟件油站官網、APP無法訪問73月德國能源業勒索軟件近6000臺風力發電機失去遠程控制84月烏克蘭能源業惡意軟件變電站停電94月德國制造業網絡攻擊被迫關閉多個業務部門的系統4月加拿大制造業網絡攻擊航班延誤，大量旅客滯留機場5月美國農業勒索軟件公司被迫關閉系統、銷售停滯5月航空業勒索軟件航班延誤、旅客滯留機場6月美國建筑業惡意流量混合探測到更多新的惡意軟件變種和與攻擊者相關的TTP6月土耳其航空業未知嚴重的數據泄露6月美國能源業網絡攻擊液化天然氣廠的運營產生了持久影響7月德國制造業勒索軟件文件泄露、被索要高額贖金7月伊朗制造業網絡攻擊嚴重擾亂工廠運營7月西班牙工業網絡攻擊輻射警報網絡無法響應輻射激增事件8月希臘能源業勒索軟件大量數據遭到泄露208月英國醫療業網絡攻擊急救熱線持續性中斷219月巴勒斯坦工業網絡入侵多個PLC可以被攻擊者控制2210月美國航空業DDoS攻擊航空公司網站的服務器無法運作2310月德國新聞業勒索軟件系統陷入癱瘓，電子版文件無法訪問2411月烏克蘭互聯網勒索軟件惡意腳本入侵網絡2511月德國制造業網絡攻擊數據泄露，被索要贖金2612月烏克蘭運輸業網絡釣魚攻擊電腦被惡意操控、數據泄露2712月哥倫比亞能源業勒索軟件大量數據泄露2812月德國制造業網絡攻擊有可能造成數據泄露4.工控系統安全漏洞概況隨著工業4.0、智能制造、工業互聯網等概念的產生和發展，全球工控產業體系迅速擴大，工控系統的獨立性日益降低，理論上來說對工控系統的攻擊實現將更加簡單，例如PLC等ICS的核心構成將面對更多樣的攻擊手段、更隱蔽的攻擊形式等。相關數據顯示，2022年西門子(Siemens)、施耐德(Schneider)、北京亞控科技發展有限公司(WellinTech)、三菱(Mitsubishi)、歐姆龍(Omron)等工業控制系統廠商也均被發現包含各種信息安全漏洞。然而本團隊從采集到的工控漏洞數據中注意到，近兩年的工控安全漏洞數量呈逐年下降的趨勢。D根據CNVD(國家信息安全漏洞共享平臺)[1][2]和“諦聽”的數據，2012-2022年工控漏洞走勢如圖4-1所示。從圖中可以看出，2015年到2020年期間工控漏洞數量呈顯著的逐年增長趨勢，出現這種情況的主要原因，本團隊分析認為是：2015年后，技術融合加速工控產業發展的同時破壞了傳統工控系統的體系結構，在產業標準、政策尚不成熟的情況下攻擊者可能會采取更加豐富的攻擊手段攻擊工控系統，導致工控漏洞的數量逐年上升。然而從2021年開始，工控漏洞數量呈逐年下降的趨勢，與2020年的568條漏洞信息相比，2021年減少了416條，漏洞數量大幅降低，減少數量占2020年的73%，2022年的漏洞數量降幅雖不及2021年的73%，但仍達到了37%，本團隊猜測出現的原因是：一方面，由于新冠疫情在全球反復暴發，大量從業人員線上辦公，工控產業活力低下，導致工控攻擊目標的數量與類型較往年有所減少，工控漏洞的產生和發現可能會因此減少；另一方面，隨著工控信息安全政策、體系、法規的不斷完善，工控安全方面的產品體系和解決方案愈發健全，客觀上的漏洞數量下降應在情理之中。如圖4-2所示，2022年工控系統行業漏洞危險等級餅狀圖，截至2022年12月31日，2022年新增工控系統行業漏洞96個，其中高危漏洞35個，中危漏洞51個，低危漏洞10個。與去年相比，漏洞數量減少了56個，高危、中危和低危漏洞數量均有一定減少，其中，中高危漏洞數量減少了54個，占2021年中高危漏洞總數的39%。2022全年高危工控安全漏洞占全年漏洞總數量中的36%，與2021年相比相差不大。由此可見，今年的全球工控安全體系建設更加完備，工控產業相關廠商、企業的研究更加深入，情況較為樂觀，但同時高危漏洞數量占比仍然較大，需要持續完善工控方面的協議、政策，增加對工控信息安全產業的投入。以上數據表明，在2022年，雖然工控漏洞數量的降幅較2021年有所降低，但全球工控系統的安全維護水平依然持續提升；同時我們注意到高危漏洞數量占比變化不大，理想情況下，風險等級被標記為“高危”的漏洞數量應當在工控相關協議、設備設計之初盡量避免，或在被工控系統安全人員發現時及時解決，其相比中低危漏洞具有更高的處理優先級，故工控系統所遭受攻擊數量雖然在近兩年逐年減少，但工控系統所遭受的攻擊強度可能并沒有降低，或者說工控系統方面設計缺陷可能并沒有得到及時完善，同時工控產業相關單位有必要進一步加強對工業漏洞的防范，并持續增加對工控系統安全建設的投入。如圖4-3是2022年工控系統行業廠商漏洞數量柱狀圖，由圖中可知，西門子(Siemens)廠商具有的漏洞數量最多，多達37個。漏洞數量排在其后的廠商分別是：施耐德 (Schneider)、亞控科技(WellinTech)、三菱(Mitsubishi)、臺達(Delta)、歐姆龍 (Omron)，這些廠商也存在著一定數量的工控系統行業漏洞。由此可見，各個廠商應該密切關注工控系統行業漏洞，通過部署終端安全防護組件、部署防火墻、入侵檢測系統、入侵防護系統或安全監測系統等方式進一步提升系統防護水平，確保工控系統信息安全。5.聯網工控設備分布“諦聽”網絡空間工控設備搜索引擎共支持31種服務的協議識別，表5-1展示了“諦聽”網絡安全團隊識別的工控協議等的相關信息。如想了解這些協議的詳細信息請參照“諦聽”網絡安全團隊之前發布的工控網絡安全態勢分析白皮書。工控協議ModbusTridiumNiagaraFoxSSL/NiagaraFoxBACnetATGsDevicesMoxaNportEtherNet/IPSiemensS7DNP3CodesysilonSmartserverRedlionCrimson3IEC60870-5-104OMRONFINSCSPV4GESRTPPCWorxProConOsMELSEC-Q端口502/5034911478081000148004481820000245578924049600222218245205475006/5007概述應用于電子控制器上的一種通用語言Tridium公司專用協議，用于智能電網等領域智能建筑、基礎設置管理、安防系統的網絡協議智能建筑的通信協議工控協議虛擬串口協議以太網協議西門子通信協議分布式網絡協議PLC協議智能服務器協議工控協議IEC系列協議歐姆龍工業控制協議工控協議美國通用電器產品協議菲尼克斯電氣產品協議科維公司操作系統協議三菱通信協議opc-ua4840OPCUA接口協議DDP5002用于數據的傳輸和DTU管理Profinet基于工業以太網技術的自動化總線標準IEC61850-8-1IEC系列協議Lantronix30718專為工業應用而設計，解決串口和以太網通信問題物聯網協議端口概述AMQP5672提供統一消息服務的應用層標準高級消息隊列協議XMPP5222基于XML的可擴展通訊和表示協議SOAP8089基于XML簡單對象訪問協議ONVIF3702開放型網絡視頻接口標準協議MQTT基于客戶端-服務器的消息發布/訂閱傳輸協議攝像頭協議端口概述DahuaDvr37777大華攝像頭與服務器通信協議hikvision81-90海康威視攝像頭與服務器通信協議“諦聽”官方網站()公布的數據為2017年以前的歷史數據，若需要最新版的數據請與東北大學“諦聽”網絡安全團隊直接聯系獲取。根據“諦聽”網絡空間工控設備搜索引擎收集的內部數據，經“諦聽”網絡安全團隊分析，得出如圖5-1的可視化展示，下面做簡要說明。年基本沒有發生太大變化。在全球范圍內，美國作為世界上最發達的工業化國家暴露出的工控設備仍然保持第一；中國繼續大力發展先進制造業，推動新型基礎設施建設，工業產值大幅增加，位居第二；2022年波蘭的GDP有所增長，暴露的工控設備也有所增長，位居第三。以下著重介紹國內及美國、波蘭的工控設備暴露情況。5.1國際工控設備暴露情況國際工控設備的暴露情況以美國和波蘭為例進行簡要介紹。美國是世界上工業化程度最高的國家之一，同時也是2022年全球工控設備暴露最多的國家，如圖5-2所示為美國2022年工控協議暴露數量和占比。自2012年美國通用電氣公司(GE)提出工業互聯網的概念以來，美國政府就十分重視工業控制領域。依托互聯網技術的發展優勢，大力推動工控相關技術的發展，以應對經濟全球化可能帶來的機遇與挑戰。在推動工業互聯網革命的同時，美國政府也關注到了由于缺乏監管而泄露的數據可能帶來的一系列互聯網安全問題。2022年9月，美國網絡安全和基礎設施安全局(CISA)發布了《2023年至2025年戰略規劃》(2023-2025StrategicPlan)，該規劃是CISA自2018年成立以來發布的首個綜合性戰略規劃，規劃中明確了美國未來三年網絡防御、減少風險和增強恢復能力、業務協作、統一機構4個總的網絡安全目標。雖然美國是最早投身網絡安全建設的國家之一，但在工業控制系統網絡安全方面的表現仍然有待提高。與2021年相比，美國2022年暴露的工控設備數有所減少。可能是受俄烏戰爭的影響，美國政府認識到工控設備及其之上運行的大量關鍵基礎設施的重要性，因此更加重視工控領域的安全問題。2022年的全球網絡空間安全形勢愈發復雜，美國政府愈發重視工業控制系統安全。2022年波蘭工控設備暴露數量位居全球第三。波蘭地處歐洲中部，屬于發展中國家，但其人均GDP基本接近末流發達國家的水平。波蘭的工業化程度很高，是歐盟第六大工業強國，在波蘭的諸多工業產業中，以制造業的表現最為突出。據波蘭中央統計局發布的數據，自2022年年初，波蘭的工業產值一直以每月兩位數的速度在增長。通過圖5-3可以看到，在波蘭所暴露的協議中，Modbus協議的數量居于首位。Modbus協議由于其公開免費，部署較為簡單，自問世以來受到了諸多供應商的青睞，但由于其缺乏認證加密等機制，Modbus協議被廣泛使用的同時，也為波蘭工業控制系統的安全性帶來了巨大的風險。綜上，相較于2021年，美國政府在發展工業的同時，更加重視國家工控系統安全性的問題，2022年暴露的工控設備數量略有下降。而波蘭由于汽車制造業的繁榮發展，國家GDP增長的同時暴露的工控設備數量也大幅增長，這勢必會給國家的后續健康發展埋下一定的隱患。5.2國內工控設備暴露情況2022年中國暴露的工控設備數量排全球第二。近幾年來，中國的產業結構不斷優化升級，工業互聯網發展迅速，實體經濟也在逐步轉型升級中。下面詳細分析一下國內工控設備暴露情況。在全國暴露工控設備數量的條形圖5-4中可以直觀的看出江蘇省的工控設備暴露數量躋身至全國首位，與去年相比，多省的工控設備暴露數量都有了很大程度的增長。2021年由于新冠疫情的肆虐，全國很多地方停工停產，國內工控設備暴露數量也隨之減少。2022年在政策穩步推動、經濟企穩復蘇及企業數字轉型需求增加等因素交織影響下，中國工業互聯網市場繼續保持穩定增長，工業化與信息化在高層次進行了深度融合，國內工控設備暴露數量相比2021年有了爆發式增長。2022年，江蘇省是暴露工控設備數量最多的省份。據中國經濟新聞網報道，江蘇省2022年信息化和工業化融合發展水平指數達到66.4，年平均增速3%左右，較2022年全國平均水平59.6高出11.4%。發達的工業體系是江蘇省實現信息化和工業化的基礎。近年來，江蘇立足制造業優勢，堅持“實體強基”，先后出臺《關于深化“互聯網+先進制造業”發展工業互聯網的實施意見》《江蘇省制造業智能化改造和數字化轉型三年行動計劃》等文件，把工業互聯網創新工程作為戰略性任務，融入到制造業數字化轉型全過程。制定實施《江蘇省加快推進工業互聯網創新發展三年行動計劃(2021—2023年)》等文件，推進“數實融合”發展[3]。江蘇省多年來一直以兩化(信息化、工業化)融合為行為指南，實現了多個行業智能化改造以及數字化轉型，其正以工業互聯網、大數據中心、5G基站等新基建夯實數據基底，著力打造領先世界的工業互聯生態圈。2022年，臺灣地區工控設備暴露數量依然名列前茅，位列全國第二。臺灣工業體系發展完善且依然在全國各地區中處于領先的位置，其與大陸的交流合作也十分密切。2022年九月，兩岸工業互聯網融合發展研討會在昆山舉辦，會上聚焦“產業升級”展開交流，助力雙方合作共贏。近年來，大陸在工業互聯網、大數據以及5G基站等新基建方面有著堅實的基底，而臺灣在集成電路等領域也積攢了雄厚的實力，雙方的交流合作有利于社會數字化轉型和智能化改造，推動工業互聯網在更廣范圍、更深程度、更高水平上融合創新。廣東2022年工控設備暴露數量排全國第三。近年來，廣東深化工業互聯網國家示范區建設，推進工業化和信息化深度融合成效顯著，工業互聯網相關企業數量也位居全國前列。據羊城新聞晚報報道，截至2022年6月底，廣東省累計推動2.25萬家規上工業企業運用工業互聯網數字化轉型，帶動65萬家中小企業“上云用云”。從制造業強省到數字化強省，廣東一直走在全國前面，廣東的工業互聯網企業也在加快全球化布局，輸出積累的數字化轉型經驗。長江三角洲地區工控設備暴露數量的排名變動不大。隨著經濟的逐步復蘇，長三角地區(江蘇、安徽、浙江和上海)正利用區位和資源優勢，加速推進長三角工業互聯網一體化發展，為全國國際化、區域聯動發展等方面進行了前沿探索。2022年11月，為加快構建長三角工業互聯網體系，促進長三角產業轉型升級，長三角工業互聯網峰會在合肥市奧體中心隆重召開。此次大會全面展示了長三角區域工業互聯網的最新發展成果，推動長三角工業互聯網一體化發展再升級、再提速。把握重大戰略機遇，加快發展工業互聯網，是長三角實現制造業高質量發展、構筑工業競爭新優勢的必然選擇[4]。北京今年排名相較去年有所下降，作為中國首都，北京經轉人流量過多，疫情時常反復，對工業互聯網的發展還是產生了一定的影響。并且現階段的北京，綠色發展是基礎，工業產業大量轉移出去，使暴露的工控設備數量與其他地區相比顯得相對較少。與2021年工控設備暴露數量相比，遼寧2022年工控設備暴露的數量反超黑龍江和吉林，成為東北地區工控設備暴露數量最多的省份。東北地區(遼寧、吉林、黑龍江)作為中國工業的搖籃，在我國發展史上寫下了光輝燦爛的篇章。遼寧省于2022年11月舉辦了全球工業互聯網大會，此次大會對于加快工業互聯網創新發展、推動數字遼寧智造強省建設取得新突破，具有重大意義。據遼寧省政府新聞辦報道，遼寧省認真貫徹習近平總書記關于工業互聯網創新發展的重要指示精神，把工業互聯網創新發展作為助推經濟高質量發展的重要力量，出臺了《工業互聯網創新發展三年行動計劃》等政策文件，設立了省級專項資金，加快推動制造業數字化轉型，使得遼寧省工業互聯網進入了新的發展階段[5]。中國工業互聯網研究院院長魯春叢于此次大會上發表了《全球工業互聯網創新發展報告》講話，他指出，未來五年將是工業互聯網從起步探索轉向快速發展的重要階段，也是我國推進新型工業化，加快建設制造強國、網絡強國、數字中國的關鍵時期[6]。當前，隨著技術的不斷發展，實現工業化和信息化高水平融合已是中國特色新型工業化道路的集中體現，工業互聯網為產業數字化、網絡化以及智能化發展提供了新的機遇。2022年，香港排名雖然較去年有所下降，但暴露設備數量卻上升了將近三倍。香港以往是一個主要以服務業為主的經濟體，所以香港的工控設備暴露數量并不能與廣東以及臺灣等地相比。但近年來，隨著5G專網工業模組成本的降低，香港積極資助5G技術應用，多方面推動5G發展，完善5G網絡覆蓋，開展5G企業網絡以及5G工業互聯網的融合應用以及部署，推動香港新型工業化的發展。香港抓住機遇，積極融入國家發展大局，為中國獨立自主建設工業互聯網絡起到了表率作用。5.3國內工控協議暴露數量統計情況“諦聽”團隊統計了國內暴露的各協議總量，從圖5-5中可以看出Modbus協議在網絡中暴露的數量最多，領先于第二位的MoxaNport。Modbus是一種串行通信協議，是Modicon公司(現在的SchneiderElectric)于1979年為使用可編程邏輯控制器(PLC)協議支持多個設備在同一網絡中的透明通信，幀格式緊湊、簡潔，兼容多種電氣接口。且Modbus憑借易部署、限制少、門檻低的優點，成為工業領域通信協議的業界標準，是國內工業電子設備之間最常用的連接方式。然而該協議缺乏有效的認證和加密手段，亦缺少對功能碼的有效管理，因此造成許多安全問題，可見該協議排在國內暴露協議第一位屬情理之中。MoxaNport，Moxa串口服務器專為工業應用而設計，MoxaNport是其中的一個串口服務器系列，在世界范圍內具有廣泛的應用。不同配置和組合的服務器能滿足多種工業場景的需要，因此適用性強。TridiumNiagaraFox，TridiumNiagaraFox被廣泛應用于國家的智能建筑、設施管理、安防、電力、空調設備等領域。Tridium是Honeywell旗下獨立品牌運作的子公司，開發了軟件框架“NiagaraFramework”。基于Niagara框架，客戶可以開發專有產品和應用，也可以集成、連接各種智能設備和系統，不受生產廠家和協議的影響，在實現設備互聯的同時可以通過網絡進行實時控制和管理。NiagaraAX平臺時至今日已經整合了多種系統，例如建筑、園區的基礎硬件設施、安防系統、訪客管理、電網系統、設施管理等。NiagaraAX把這些設備和系統進行連接，使用TridiumNiagaraFox協議通信，具有極高的使用價值，因此排在第三位亦在意料之中。EtherNet/IP是由ODVA(OpenDeviceNetVendorAssociation)指定的工業以太網協議，它使用ODVA已知的應用層“通用工業協議”(CIP?)。CIP是一種由ODVA支持的開放工業協議，它被使用在例如EtherNet/IP等串行通信協議中。美國的工控設備制造商Rockwell/Allen-Bradley對EtherNet/IP進行了標準化處理，其他的廠商也在其設備上支持了EtherNet/IP協議。當前，EtherNet/IP的使用已經十分廣泛，然而協議層面的安全問題仍值得我們重視。BACnet是用于樓宇自動化和控制網絡的簡短形式的數據通信協議，亦是主要行業供應商產品中常用的自動化和控制協議之一，其目的是提高服務供應商之間的互操作性，減少因設備廠商的專有系統所造成的使用限制問題。此協議的泄露往往是由用戶缺乏安全意識導致，意味著該IP對應的行業供應商的產品設備已經暴露，因此容易造成用戶的網絡安全隱患和財產損失。5.4俄烏沖突以來暴露設備數量變化俄烏沖突開始于2022年三月份，目前俄羅斯和烏克蘭的緊張局勢依然在持續中，近期的沖突仍然在加劇。發動網絡戰能夠削弱一個國家的通信能力以及戰場感知能力，而且隨著軍隊依靠軟件，利用獲取的情報在戰場上進行部署，這場競賽變得越來越重要。為了能夠了解俄羅斯和烏克蘭的工控領域的相關狀況，“諦聽”網絡安全團隊對此進行了持續關注。表5-2列舉了俄羅斯、烏克蘭暴露工控設備的相關協議。探測發現協議探測端口協議概述SiemensS7西門子通信協議Modbus502應用于電子控制器上的一種通用語言ilonSmartserver智能服務器協議MoxaNport4800Moxa專用的虛擬串口協議XMPP5222基于XML的可擴展通訊和表示協議AMQP5672提供統一消息服務的應用層標準高級消息隊列協議IEC60870-5-1042404IEC系列協議同時，“諦聽”網絡安全團隊每月都會收集俄烏暴露的設備數量情況，根據收集的數據，得到了俄羅斯和烏克蘭自沖突爆發以來暴露的設備的數量變化情況。從圖5-6沖突前后俄羅斯各協議暴露設備數量來看，AMQP協議從沖突前到沖突開始持續到8月份變化幅度較大，總體呈現先降后升的趨勢，后續趨于平緩；SiemensS7協議從沖突前至3月份呈現下降趨勢，之后整體趨勢呈現先升后降；IEC60870-5-104協議整體變化趨勢與SiemensS7協議相同，但在11月至12月份突然呈現迅速上升的趨勢，猜測與11月發生了工控事件有關；ilonSmart-server協議在5月份變化較大，10月份之后呈現下降趨勢；其它協議整體的變化幅度不大。從圖5-7沖突前后烏克蘭各協議暴露設備數量變化情況中我們可以看到，首先AMQP、Modbus、MoxaNport、XMPP以及SiemensS7等協議從沖突前到4月份變化較大，猜測是期間發生了重大的工控事件導致的。隨后，除AMQP以外的四種協議在10月到12月份發生了小幅度的變化；其它兩種協議沒有變化。總之，從上面兩幅圖可以看出，俄烏暴露設備的數量變化較大的月份主要集中在3月至5月以及10月至12月這幾個月份，猜測其變化趨勢與當時發生的工控事件有直接或間接的關系，表5-3列舉自俄烏沖突以來與之相關的主要的工控事件。時間時間主要工控事件俄羅斯聯邦儲蓄銀行(Sberbank)和莫斯科交易所的網站遭到烏克蘭IT軍攻擊黑客組織“匿名者”入侵并泄漏了俄羅斯經濟發展部等政府單位以及俄羅斯國家原子能公司Rosatom數據，攻擊了包括俄羅斯航空公司PegasusFly、俄國防產品出口公司(Rosoboronexport)、俄羅斯緊急情況部、俄羅斯能源巨頭Rosneft位于德國的子公司以及俄羅斯管道巨頭Transneft內部研發部門Omega公司等相關網站黑客組織AnonGh0st入侵俄羅斯SCADA系統并共享了與供水系統相關的數據2022年3月俄羅斯黑客組織攻擊了覆蓋烏克蘭地區的美國衛星運營商Viasat俄羅斯有關APT組織InvisiMole主要針對烏克蘭國家機構發起攻擊未知組織攻擊了烏克蘭互聯網服務提供商Triolan以及主要的通信運營商Ukrtelecom，導致網絡嚴重中斷未知組織入侵了包括烏克蘭政府機構、智囊團、國防軍招募和金融等相關網站烏克蘭某能源公司遭惡意軟件攻擊2022年4月俄羅斯石油巨頭GazpromNeft網站遭黑客攻擊2022年10月親俄黑客組織對美國關鍵基礎設施發起大規模攻擊2022年11月黑客成功入侵烏軍戰場指揮系統，戰場數據泄露2022年12月俄羅斯黑客試圖入侵北約某國的大型煉油廠未遂6.工控蜜罐數據相關分析如今，工業互聯網的蓬勃發展給工業控制領域帶來了新的發展機遇，與此同時也帶來了新的網絡安全問題。蜜罐技術是增強工控系統網絡安全防護能力的有效方法，東北大學“諦聽”網絡安全團隊對工控蜜罐技術展開了研究。經過多年努力，“諦聽”網絡安全團隊研發出了可以模擬多種工控協議和工控設備并且全面捕獲攻擊者流量的“諦聽”工控蜜罐。目前，“諦聽”蜜罐支持11種協議，且已經部署在多個國家和地區。“諦聽”網絡安全團隊在2021年進一步改進了基于ICS蜜網的攻擊流量指紋識別方法(以下簡稱“識別方法”)，有效地提高了識別各類針對工控網絡的攻擊流量的效率，并根據不同類型的攻擊流量制定出更加有效的工控系統防御措施。6.1工控蜜罐全球捕獲流量概況ATGsDevicesDNPModbusEGD等11種協議，其中，EGD協議是今年新增的協議。目前“諦聽”工控蜜罐已經部署在了中國華北地區、中國華南地區、東歐地區、東南亞地區、美國東北部等國內外多個地區。截止到2022年12月31日，“諦聽”蜜罐收集到大量攻擊數據。圖6-1、6-2和6-3中展示了經過統計和分析后的數據。下面將對各個圖表進行簡要解釋說明。圖6-1展示了不同協議下各蜜罐受到的攻擊量。從圖中可以看出，ATGsDevices、DNP3和Modbus協議下蜜罐所受攻擊量仍然保持在前三名。但與2021年相比，曾大幅協議從第二名躍居第一，這表明ATGsDevices協議受到的關注大幅度增加。另外，今年新增的EGD協議具有簡便高效的特性，其所受攻擊量位于第六位。這些變化表明工控系統協議在不斷發展，攻擊者的攻擊方向也在不斷調整和變化。前四種協議所受的攻擊量總計占比接近70%，這表明這些協議比較受攻擊者的關注，因此工控網絡安全研究人員應根據需求情況，加強這些協議下設備的網絡安全防護。“諦聽”網絡安全團隊對收集到的攻擊數據的IP來源進行分析，得到了來自不同國家和地區攻擊源的數量統計，圖6-2僅展示攻擊量最多的10個國家。從圖中可以看到，美國的攻擊量遙遙領先，甚至超過了其他9個國家攻擊量的總和；排在第二的國家是荷蘭，其攻擊量雖遠少于美國但也處于較高的數量水平，這在一定程度上表明兩國攻擊者對本國工控設備的高度關注。英國、俄羅斯和德國的攻擊量相差不大，分別位于第三到五位。從排名第六位的斯洛伐克開始，攻擊量顯著減少。對中國國內流量來源的IP地址進行相關分析，列出了IP流量的省份排名，如圖6-3所示，這里僅展示前十名。可以看到，來自中國華北地區的IP流量較多，北京同去年一樣排在了第一位，體現出其作為首都在網絡安全支撐工作方面的領先地位。山西省躍升至第二位，浙江省由去年的第五名上升至第三名，由此可見山西省和浙江省在網絡安全方面做出的努力。2022年，“諦聽”網絡安全團隊調整了已部署的蜜罐，拓展了蜜罐可支持協議的范圍，未來將會與更多高新技術應用進行融合，相關的研究將會持續推進。6.2工控系統攻擊流量分析“諦聽”團隊首先對來自不同地區的蜜罐捕獲的攻擊流量數據進行初步分析，然后使用識別方法對Modbus、Ethernet/IP兩個應用范圍較廣的協議進行攻擊流量檢測，并從每個協議在不同地區部署的蜜罐中選擇最具代表性的兩個地區進行攻擊流量數據統計。針對Modbus協議，我們選擇了中國華東地區和美國東海岸地區部署的蜜罐，統計攻擊源攻擊總量攻擊IP數量IP平均攻擊數Netherlands542263.8UnitedStates20084015.0China573599.7UnitedKingdom395849.4Germany727.2Japan62320.7Russia614.4Belgium4834Canada3421Greece攻擊源攻擊總量攻擊IP數量IP平均攻擊數UnitedStates8652433.6Netherlands28225.6Germany9.6China7.1UnitedKingdom747.6Singapore4230Belgium3828Canada22Ukraine919.0Japan818.0由表6-1、6-2可知，在攻擊總量來源方面，荷蘭在中國華東地區的攻擊總量顯著高于其他國家，且遠高于去年同期數據。在美國東海岸地區Modbus協議蜜罐捕獲攻擊總量中，美國仍然保持第一位，且與去年相比呈現上升趨勢。在攻擊IP數量方面，美國仍在兩個地區中均排名第一，并遠超于其他國家。以表6-2為例，美國在美國東海岸地區的攻擊IP數量約是排名第二的比利時的8.7倍。在IP平均攻擊數方面，荷蘭在兩個地區中均處于第一位。針對Ethernet/IP協議，我們選擇的是中國華南地區和美國西海岸地區部署的蜜罐，、6-4所示。攻擊源攻擊總量攻擊IP數量IP平均攻擊數UnitedStates4523.8China293.1Kazakhstan553.3Netherlands63.2Germany86Japan616.0India212.0Ukraine11UnitedKingdom11Vienna212.0攻擊源攻擊總量攻擊IP數量IP平均攻擊數UnitedStates333694.8ChinaGermany85Netherlands871.1Japan422.0由表6-3、6-4分析可知，在攻擊總量來源和攻擊IP數量方面，美國在兩個地區中均位列第一，且遠超其他國家。在IP平均攻擊數方面，哈薩克斯坦在中國華南地區排名第一，是排名第二的日本的3.05倍。美國在美國西海岸地區的IP平均攻擊數最高。通過上述統計的Modbus協議蜜罐和Ethernet/IP協議蜜罐捕獲的攻擊總量來源數據，可以看出Modbus協議蜜罐受攻擊的總次數遠大于Ethernet/IP協議蜜罐，推測其原因為Modbus協議具有公開免費、開源工具多、部署和維護簡單等特點，從而當前應用范圍更廣泛，因此所受攻擊更多。此外，在確定攻擊源的情況下，排名前三的國家的攻擊方來源數占總數的近90%，可能的原因包括：一是由于這些國家的公司提供的云服務器被租賃用于長期掃描；二是由于這些國家的安全行業從業者及研究人員較多，相關研究行為較活躍；三是由于這些國家存在大量惡意攻擊團隊，其對互聯網進行的惡意攻擊被諦聽部署的蜜罐有效誘捕。6.3工控系統攻擊類型識別“諦聽”網絡安全團隊提出一種基于ICS蜜網的攻擊流量指紋識別方法，針對Modbus、Ethernet/IP協議蜜罐捕獲的流量數據進行了攻擊類型識別。圖6-4和圖6-5分別顯示了對Modbus和Ethernet/IP協議蜜罐捕獲的攻擊流量的攻擊類型識別結果。其中的“E”表示Ethernet/IP協議，其中的“M”表示Modbus協議，由于國內和國外的蜜罐程序不同，“E”和“E'”同一編號表示不同的攻擊類型，“M”和“M'”同一編號表示不同的攻擊類型，環形圖中各部分為不同的攻擊類型。Ethernet/IP協議蜜罐部署地區為中國華南地區和美國西海岸，兩地區的經濟發展迅速，高新技術產業發達，各種網絡活動較頻繁。蜜罐部署在經濟科技發達地區，便于收集更多、更詳細的攻擊信息。由圖6-4可知，中國華南地區的Ethernet/IP協議蜜罐捕獲美國西海岸地區的Ethernet/IP協議蜜罐捕獲的攻擊流量采用E'-1、E'-2、E'-3三種攻擊類型，其中，E'-1以54%的高占比成為該地區Ethernet/IP協議蜜罐捕獲的攻擊流量的主要攻擊類型。由此可見以上攻擊類型是對Ethernet/IP協議蜜罐進行攻擊的主要手段。Modbus協議蜜罐部署地區為中國華東地區和美國東海岸，二者均為工業發達地區，蜜罐部署在該地區便于偽裝隱藏，且易于收集更多的攻擊信息。由圖6-5可知，中國華M'-2、M'-3，且相互之間占比差距較小。由此可見以上攻擊類型是對Modbus協議蜜罐進行攻擊的主要手段。本團隊對Ethernet/IP和Modbus的ICS網絡流量進行了解析、建模、評估，但其中還存在部分未知的攻擊類型，針對未知的攻擊類型還需進一步的研究，以便提供有效的ICS流量檢測與攻擊預警，評估其潛在的攻擊意圖，制定針對性的防御措施。6.4工控蜜罐與威脅情報數據關聯分析近年來，網絡安全風險持續向工業控制領域擴散，工控網絡也逐漸成為網絡安全的重要一環。當前工控攻擊具有類型豐富、途徑泛濫、追蹤困難等特點，傳統的被動式防御手段“老三樣”——防火墻、查殺病毒、入侵檢測以及針對單點的攻擊取證與溯源技術難以應對高級持續性威脅(APT)、新型高危漏洞等復雜安全威脅，而以威脅情報(TI)為基礎的分析技術能夠收集整合全球范圍內的分散攻擊與威脅，進而采取智能化的攻擊響應措施，實現大規模網絡攻擊的防護與對抗，本團隊也對2022全年采集到的大量威脅情報及蜜罐數據進行了關聯分析。 (https://www.TI)是基于“諦聽”威脅情報中心而研發的應用服務。威脅情報中心存有海量威脅情報數據，提供全面準確、內容詳細的相關決策支持信息，為行業系統安全提供保障。面對復雜的攻擊形式和不斷迭代的攻擊手段，建立完善的威脅情報搜40索引擎刻不容緩，旨在為工業、企業、組織以及個人提供更加全面的情報信息，打造以威脅情報平臺為基石的網絡安全空間。2022年“諦聽”蜜罐和威脅情報中心均采集到大量新數據，為探尋數據間潛在的相關性，“諦聽”團隊計算威脅情報數據和蜜罐數據的重疊部分，并根據攻擊類型的不同將數據分為5類。其中包括代理IP(proxy)、命令執行與控制攻擊(commandexecutionandcontrolattacks)、惡意IP(reputation)、垃圾郵件(spamming)和洋蔥路由(tor)。每種類型數據與蜜罐數據重疊部分在二者中的占比如圖6-6，本團隊對該圖的分析如下。圖6-6中威脅情報數據來源于“諦聽”威脅情報中心，該系統所記錄的數據為安全網站或安全數據庫中的情報數據，本團隊根據情報數據攻擊類型不同分別記錄在不同的數據表中。而直接在部署在國內外網絡節點上的工控蜜罐通過模擬暴露在互聯網上的工業控制設備，開放設備對應工業網絡協議端口吸引攻擊者，在記錄每一次攻擊者的攻擊信息的同時，監聽捕捉流經此